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(54) Bezeichnung: VERFAHREN UND VORRICHTUNG ZUM VERARBEITEN VON DATEN 
(57) Abstract 

The invention relates to a method for encoding 
and/or decoding data, according to which the data are 
designated for encoding or decoding in an encoding or 
decoding step which is chosen from several alternative, 
equivalent encoding or decoding steps and/or consists 
of several partial encoding or decoding steps to be 
processed sequentially. The selected encoding or 
decoding step is chosen randomly and/or the encoding 
or decoding steps are modified randomly. 

(57) Zusammenfassung 

Es ist ein Verfahren zum VerschlUsseln 
unaVoder Entschlusseln von Daten, bei dem die 
Daten filr ein VerschlUsseln oder Entschlusseln in 
einem Verschliisselungs- oder Entschliisselungsschritt 
vorgesehen werden, der aus mehreren al- 
ternativen gletchwertigen Verschlusselungs- 
oder EntschlUsselungsschritten ausgewahlt ist, 
und/oder aus mehreren sequentiell abzuarbeitenden 
VerschlUsselungs- oder Entschlusselungsteilschritten 
besteht, wobei der ausgewahlte Verschlusselungs- 
oder Entschltisselungsschritt zufallig ausgewahlt 
ist und/oder die Verschliisselungs- oder 
Entschlusselungsschritte zufallig verandert sind, 
vorgesehen. 
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Beschreibung 

Verfahren und Vorrichtung zum Verarbeiten von Daten 

5 Die Erfindung betrifft ein Verfahren bzw. eine Vorrichtung 
zum Verarbeiten von Daten. Im Rahmen ublicher Datenverarbei- 
tung werden heutzutage zunehmend Sicherheitsaspekte relevant, 
da zunehmend versucht wird, unerlaubt Daten aus Datenverar- 
beitungsanlagen zu erhalten. Urn die zu verhindern werden zu- 

10 nehmend kryptographische Verfahren angewandt, bei denen zu 
schiitzende Daten verschlusselt werden. Hierzu wird unter an- 
derem beispielsweise das "Public-Key-Verf ahren" verwendet, 
bei dem jeder Teilnehmer eines Systems ein Schliisselpaar be- 
sitzt, das aus einem geheimen Schlusselteil und einem offent- 

15 lichen Schlusselteil besteht. Die Sicherheit der Teilnehmer 
beruht nun darauf, dali der geheime Schlusselteil Unbefugten 
nicht bekannt ist. Die Ausfuhrung eines derartigen Verfahrens 
geschieht haufig in einer besonders gesicherten Komponente, 
wie beispielsweise einer Chipkarte aber auch in einem einmal 

20 in ein Gerat eingesetzten elektronischen Schaltkreis - auch 
als IC bekannt in denen dann das Verfahren selbst reali- 
siert ist. Somit braucht der geheime Teil des Schliissels die- 
se gesicherte Komponente nicht zu verlassen. 

25 Neuerdings sind jedoch Angriffe bekannt geworden r bei denen 
versucht wird, den Schlussel in der gesicherten Komponente 
auszuspahen. Dies soil beispielsweise durch Messung des 
Stromverbrauchs der gesicherten Komponente ermoglicht werden. 
Durch das haufig wiederholte Beobachten des Stromverlauf s und 

30 bei dem Bekannt sein wie der Verschlusselungsvorgang durchge- 
fiihrt ist, ist es schlieftlich moglich, Ruckschliisse auf den 
Schlussel zu ziehen. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren 
35 zum Verschlusseln bzw. eine Vorrichtung vorzusehen, bei der 
eine erhohte Sicherheit vor dem Ausspahen eines geheimen 
Schliisselwortes gegeben ist. 
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Diese Aufgabe wird erf indungsgemaiJ mit den Maftnahmen bzw. 
Mitteln gemaft Patentanspruch 1 bzw. Patentanspruch 3 gelost. 

5 Dadurch, daft Verschliisselungs- bzw, Entschllisselungsverf ahren 
so gesteuert bzw. Operationen begleitend zu diesem Verf ahren 
gesteuert werden, daft sich auch bei einer haufig wiederholten 
Messung von von auften zuganglichen Parametern, wie beispiels- 
weise dem Stromverbrauch, keine Riickschliisse auf den verwen- 
10 deten Schliissel Ziehen lassen. 



Weitere vorteilhafte Ausgestaltungen der Erfindung sind in 
den Unteranspriichen angegeben. Nachfolgend wird die Erfindung 
unter Bezugnahme auf die Zeichnung anhand von Ausf iihrungsbei- 
15 spielen erlautert. 



Hierbei zeigen: 

Fig. 1 ein erstes Ausf iihrungsbeispiel einer erf indungsgema- 
20 ften Vorrichtung, 



Fig. 2 ein zweites Ausf iihrungsbeispiel einer erf indungsgema- 
ften Vorrichtung, anhand der auch das erf indungsgemafte 
Verfahren erlautert wird und 

25 

Fig. 3 ein drittes Ausf iihrungsbeispiel 



Mit 1, 2 ist eine zu schiitzende Schaltung, die beispielsweise 
aus einem Mikrocontroler 2 und einem Rechenwerk 1 besteht, 

30 bezeichnet. Der Mikrocontroler 2 steuert dabei das Rechenwerk 
l r in dem beispielsweise ein. Verschlusselungsvorgang durchge- 
fuhrt wird. Dieser zu schiitzenden Anordnung wird nunmehr ein 
Strom I zugefiihrt, der mittels einer Mefteinrichtung 7 detek- 
tierbar ist, wodurch Riickschlusse auf die Vorgange in der zu 

35 schiitzenden Schaltung 1, 2 gezogen werden sollen. Es ist nun- 
mehr eine zusatzliche Schaltungseinrichtung 6 vorgesehen, die 
uber einen Zuf allsgenerator 3 gesteuert wird. Dieser Zufalls- 
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generator kann beispielsweise als ein Sequenzgenerator in 
Form eines linear riAckgekoppelten Schieberegisters ausgefuhrt 
sein, welches mit einem Startwert geladen, eine pseudozufal- 
lige Folge - Nullen und Einsen - erzeugt. Hierbei kann der 
5 Startwert entweder zufallig erzeugt sein oder von der Steuer- 
einrichtung beispielsweise auf Basis des Schliisselwortes ge- 
neriert werden, auch ist eine Kombination beider Moglichkei- 
ten denkbar. Die somit vom Zuf allsgenerator erzeugte Sequenz 
steuert nunmehr Schalter S in der zusatzlichen Schaltungsein- 

10 richtung 6, so daft Kondensatoren, die mit den Schaltern S in 
Reihe liegen, entsprechend der jeweils gerade erzeugten Zu- 
fallsfolge geladen werden. Auf diese Weise wird der Stromver- 
brauch der zu schutzenden Schaltung 1, 2 durch die zusatzli- 
che Schaltungseinrichtung 6, namlich dem Ladestrom der Kon- 

15 densatoren, verschleiert . Urn den Gesamtstromverbrauch dieser 
Einrichtung zu minimieren, ist es nicht notwendig, daJi die 
zusatzliche Schaltungseinrichtung 6 fortwahrend einen Beitrag 
zum Stromverbrauch liefert. Sie kann vielmehr darauf be- 
schrankt werden, nur in der Zeit wahrend des Verschliisselns 

20 bzw. Entschlusselns zu arbeiten. 

Fig. 2 zeigt ein weiteres erf indungsgemaftes Ausf uhrungsbei- 
spiel. Hierbei liegt das Rechenwerk 1 und die Steuerungsein- 
richtung 2, der Zuf allsgenerator 3 und eine Speichereinrich- 

25 tung 5 an einem gemeinsamen Bus 4, der von extern mittels ei- 
ner Schnittstelle 9 zuganglich ist. Uber die Schnittstelle 9 
werden beispielsweise zu verschliisselnde bzw. zu entschlus- 
selnde Daten zugefuhrt. In der Speichervorrichtung 5 ist ein 
geheimes Schliisselwort gespeichert, das gesteuert von der 

30 Steuereinrichtung 2 dem Rechenwerk 1 zugefuhrt wird, urn die 
uber die Schnittstelle 9 vom Datenbus zugefiihrten Daten zu 
verschlusseln bzw. zu entschliisseln. Der Zuf allsgenerator 3 
erzeugt nunmehr eine Zufallszahl, die der Steuereinrichtung 2 
zugefuhrt wird, die nunmehr auf Grundlage dieser Zufallszahl 

35 das Rechenwerk 1 steuert. Hierbei sind nunmehr zwei Moglich- 
keiten denkbar. 
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Das Rechenwerk 1 wird auf Grundlage der Zufallszahl durch die 
Steuereinrichtung 2 so gesteuert, daft der Verschliisselungs- 
oder Entschlusselungsalgorithmus der jeweiligen Zufallszahl 
entsprechend moduliert wird. Das bedeutet, es erfolgen somit 
5 im Verschlusselungs- bzw. Entschlusselungsalgorithmus Re- 
chenoperartionen, die ohne abschlieftende Auswirkung auf die 
Verschliisselung bzw. Entschliisselung, mit zufalligen Werten 
arbeiten . 

10 Nachfolgend werden Beispiele fur die Variationen des Ver- 
schlusselungs- bzw. Entschlusselungsalgorithmus beschrieben. 

Ein bekanntes Verfahren ist das sogenannte RSA-Verf ahren . Es 
arbeitet in der Gruppe teile fremder Restklassen modulo N und 

15 setzt die Exponentiationen aus Multiplikationen modulo N zu- 
sammen. Die Varianten dieser Protokolle fur elliptische Kur- 
ven modulo p besitzen aus modularen Additionen und Multipli- 
kationen zusammengesetzte Grundoperationen, sogenannte Addi- 
tionen und Verdoppelungen in der Punktgruppe der elliptischen 

20 Kurven, die ihrerseits zur Exponentiation zusammengesetzt 

werden. Die dritte grofie Gruppe besteht aus elliptischen Kur- 
ven uber endlichen Korpern, deren Elementezahlen eine Prim- 
zahlpotenz, die haufig eine Potenz von 2 ist. Diese Struktu- 
ren werden gemeinhin als GF(p n ) bezeichnet. Die Basisarithme- 

25 tik in diesen Korpern kann durchgeflihrt werden, indem man die 
Korperelemente als Polynome mit Koef f izienten aus dem Grund- 
korper GF(p) oder einem geeigneten Zwischenkorper darstellt, 
die durch Multiplikationen modulo einem festen Korperpolynom 
miteinander verkniipft sowie koef f izientenweise addiert wer- 

30 den. In diesem Sinne lassen sich Operationen in GF(p n ) bzw. 
in elliptischen Kurven uber diesen Korper als modulare Re- 
chenoperation auffassen. Dabei sind die nachf olgenden drei, 
dem erf indungsgemalien Verfahren entsprechende Variationsmog- 
lichkeiten moglich. 

35 

a) Der Modul N wird durch r*N ersetzt, wobei r eine von 0 
verschiedene Zufallszahl ist. Im GF(p n )-Fall wird das Kor- 
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perpolynom durch sein Produkt mit einem zufallig gewahlten 
von 0 verschiedenen Polynom ersetzt. Dieser Schritt ist vor 
Eintritt in die Rechnung oder einem Teilschritt durchzufuh- 
ren und nachfolgend durch eine Reduktion des Ergebnisses 
5 bzw. Teilergebnis modulo N zu kompensieren . 

b) Ein Eingangsparameter X einer modularen Rechenoperation 
wird durch den Wert X + s*N ersetzt, wobei s eine Zufalls- 
zahl ist. Dies kann in verschiedenen Rechenschritten durch- 
gefuhrt werden. Auch eine entsprechende Veranderung mehre- 

10 rer Eingangsparameter der selben Operation ist moglich. 

c) Die Exponenten E werden durch E + t*q ersetzt, wobei t ei- 
ne Zufallszahl und q die sogenannte Ordnung der Basis der 
auszuf uhrenden Exponentiation, oder ein geeignetes Vielfa- 
ches davon, ist. Potentielle Werte von q lassen sich haufig 

15 aus den Systemparametern ableiten. So kann man fur die Ex- 
ponentiation modulo N q=(p (N) und fur elektrische Kurven q 
als die Anzahl der Punkte dieser Kurve wahlen, wobei haufig 
noch bessere Wahlmoglichkeiten gegeben sind. 

20 Eine weitere Moglichkeit besteht darin, daB alternative, 

gleichwertige Verschlusselungs- bzw. Entschliisselungsalgo- 
rithmen im Rechenwerk 1 durchfuhrbar sind, die gemaft der zu- 
gefiihrten Zufallszahl zufallig ausgewahlt werden. 

25 Bei der zuvor beschriebenen Modulation des Verschliisselungs- 
bzw. Entschlusselungsalgorithmus wird nicht nur der Stromver- 
brauch der Anordnung durch die Zufallszahl verandert, sondern 
ebenfalls die benotigte Rechenzeit. Auch diese kann als Meft- 
grofce Riickschliisse auf den Geheimschlussel geben. Gleiches 

30 gilt fur die zuf allsgesteuerte Auswahl der aquivalenten Re- 
chenoperationen . 

Eine dritte Moglichkeit ist darin zu sehen, daft ahnlich dem 
Ausf iihrungsbeispiel nach Fig. 1 eine zusatzliche Schaltungs- 
35 einheit 6 vorgesehen ist (gestrichelt dargestellt) , die eben- 
falls mit der Zuf uhreinrichtung 4 verbunden ist. Die Steuer- 
einrichtung 2 steuert nunmehr die zusatzliche Schaltungsein- 
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richtung 6 gemaft einer vom Zuf allsgenerator 3 iiber die Zufiih- 
reinrichtung 4 zugefiihrten Zufallszahl. Eine Anlayse des 
Stromverbrauchs der dargestellten Gesamtanordnung ist somit 
nicht durch den Betrieb im Rechenwerk 1 allein bestimmt son- 
5 dern ebenfalls durch einen zufallig gesteuerten Stromver- 
brauch der zusatzlichen Schaltungseinheit. 

Zusatzlich sei darauf hingewiesen, daft auch die Kombination 
von Modulation des jeweiligen Algorithmus mit einer zusatzli- 
10 chen Schaltungseinheit 6 im "Dummy-Betrieb" sinnvoll ist. 

Fig. 3 zeigt ein drittes erf indungsgemaftes Ausf iihrungsbei- 
spiel. Hierbei wird der Steuereinrichtung 2, in Form einer 
CPU uber Datenanschluft D Daten zugefuhrt. Gleichzeitig wird 

15 der "Wait-State-Anschluft" WS mit einem Zuf allsgenerator 3 
verbunden. Dieser Zuf allsgenerator 3 erzeugt nunmehr in zu- 
falliger Folge "Einsen" "Nullen". Entsprechend der Program- 
mierung wird nunmehr immer dann wenn eine "1" oder "0" am 
Eingang anliegt, der Betrieb der CPU gestoppt oder wieder 

20 aufgenommen. Dies fiihrt dazu f daft der Betrieb der CPU zwar 

noch synchron zu einem nicht dargestellten Taktgenerator ar- 
beitet, jedoch keine einheitlichen Verarbeitungszyklen mehr 
aufweist. Da auf diese Weise kein fester einheitlicher Rahmen 
mehr vorliegt f sind durch Beobachtung der CPU deren Arbeit s- 

25 vorgange nicht mehr ohne weiteres nachvollziehbar und nur 
sehr erschwert analysierbar . Dies bedeutet, daft die in der 
CPU abzuarbeitenden Vorgange "verrauscht" sind. Urn die Hand- 
habbarkeit einer solchen Anordnung zu steigern, kann der Zu- 
f allsgenerator 3 so programmiert werden, daft festlegbar ist, 

30 in welchem zeitlichen Rahmen eine Verarbeitung maximal ab- 

lauft. Dies ist unter anderem dafur notwendig, urn festzustel- 
len, ob das System insgesamt ausgef alien ist. 

Es erscheint besonders sinnvoll eine- Anordnung gemaft Fig. 3 
35 mit einer Anordnung gemaft Fig. 1 oder 2 oder mit beiden zu 
kombinieren urn somit beispielsweise die Analyse der Bearbei- 
tung eines Gesamtsystems zu erschweren. 
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Patentanspruche 

1. Datenverarbeitungsverf ahren, bei dem in einer Verarbei- 
tungseinheit (1,2) iiber eine Datenleitung zugefuhrte Daten 

5 verarbeitet werden, ein Zusatzsignal der Verarbeitungseinheit 
zugefiihrt wird, und bei dem die Verarbeitung in Abhangigkeit 
vom Zusatzsignal erfolgt. 

2. Datenverarbeitungsverf ahren nach Anspruch 1, bei dem das 
10 Zusatzsignal von einem Zuf allszahlgenerator gesteuert ist. 

3. Datenverarbeitungsverf ahren nach Anspruch 2, bei dem an 
einer geeigneten Stelle ein Operand mit einer Zufallszahl be- 
aufschlagt ist und an einer weiteren geeigneten Stelle ein 

15 entsprechender Kompensationsoperand mit der gleichen Zufalls- 
zahl beaufschlagt ist. 

4. Datenverarbeitungsverf ahren nach Anspruch 2, bei dem die 
Verarbeitung der Daten aus mehreren Einzelschritten zusammen- 

20 gesetzt ist, die aus mehreren Alternativen gleichwertigen 
Einzelschritten ausgewahlt sind, und/oder aus mehreren se- 
quentiell abzuarbeitenden veranderbaren Einzelschritten be- 
steht, wobei die Auswahl und/oder die Veranderungauf Grundla- 
ge des Zusat zsignals erfolgt. 

25 

5. Vorrichtung zum Durchfuhren des Verfahrens nach Anspruch 
1, mit einer Recheneinrichtung (1), der Daten mittels einer 
Zufuhrvorrichtung (4) zugefiihrt werden, und einem Zufallsge- 
nerator (3), und einer Steuervorrichtung (2), die die Rechen- 

30 einrichtung steuert, wobei ein Ausgangssignal des Zufallsge- 
nerators (3) die Steuereinrichtung (2) und/oder und die Re- 
cheneinrichtung (2) beeinflufit. 

6. Vorrichtung nach Anspruch 5, bei der mit der Steuerein- 
35 richtung (2) eine Hilf sschaltung (6) verbunden ist, die von 

der Steuereinrichtung (2) auf Basis des von dem Zufallsgene- 
rator (3) zugefiihrten Ausgangssignal gesteuert wird. 
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